SentinelOne EDR: XOpsインテグレーションの設定

この記事では、SentinelOne EDRからデータを統合してレビュー可能なストーリーをCatoのXDR インシデント検出で生成する方法について説明します。

概要

APIコネクタを使用して、SentinelOne EDRからインシデントデータを統合し、エンドポイントデバイスのストーリーを生成できます。 エンドポイントストーリーは、ネットワーク内の潜在的な脅威についてより完全な把握を助けます。

ストーリーは、Agent UUID (デバイスID) と脅威ファイルハッシュに基づいてSentinelOne EDRのインシデントデータを関連づけることによりCMAで作成されます(90日以内)。 これらのストーリーには、SentinelOneが検出したインシデントに関連するすべての証拠が含まれています。 XDR インシデント検出はエンドポイントストーリーと他のストーリータイプを一緒に表示し、エンドポイントインシデントに焦点を当てるためにストーリーを並べ替えたりフィルタリングしたりできます。

SentinelOneストーリーは、元のアラートが生成された後、ほぼリアルタイムで作成されます。 

SentinelOne EDRのインシデントデータをCato XOpsと統合するには、SentinelOne EDR用のAPIコネクタを設定する必要があります。 コネクタを作成すると、エンドポイントインシデントエンジンがSentinelOne EDRからインシデントデータを取得し分析します。

さらに詳しくXOpsストーリーを確認する方法について、Drilling-Down and Analyzing XOps セキュリティストーリーを参照してください。

前提条件

  • Singularity Data Lakeを含むSentinelOne Enterpriseライセンスが必要です。
  • SentinelOne EDRインシデントについてCato XOpsストーリーを表示するには、XOpsまたはMDRライセンスが必須です。 イベントはライセンスなしで生成されます。
  • コネクターを追加するには、統合リソースセクション内)に対して編集者権限が必要です。 詳細情報は、RBACを使用した管理者の役割の管理を参照してください。

SentinelOne EDRコネクタの設定

CatoとあなたのSentinelOneテナント間のコネクタを作成するには、以下の手順が必要です。

  1. SentinelOneコンソールでAPIトークンを作成する
  2. CMAでAPIコネクタを作成する

SentinelOneに認証するための正しい資格情報を持っている必要があります。

ステップ1: SentinelOneコンソールでAPIトークンを作成する

SentinelOneコンソールで、CMAに入力するAPIトークンを作成します。

APIトークンを作成するには:

  1. SentinelOneコンソールテナントのサイドメニューで、設定 > ユーザーを選択に移動します。

  2. サービスユーザータブで、実行 > 新しいサービスユーザーを作成をクリックします。

    New_Service_User.png

  3. サービスユーザーの名前有効期限を追加します。 有効期限を少なくとも1年に設定することをお勧めします。

    注記: トークンが失効した場合は更新する必要があります。

  4. 次へをクリックします。

  5. アカウントレベルを選択し、関連するアカウントのボックスにチェックを入れます。

    Scope.png
  6. ユーザーを作成をクリックします。 MFAコードの入力が求められることがあります。
  7. APIトークンをコピーして保存し、CMAに追加できるようにします。

ステップ2: CMAでAPIコネクタを作成する

APIトークンを取得したら、CMAに詳細を追加します。

S1.png

CMAでSentinelOne EDRコネクタを設定するには:

  1. ナビゲーションメニューからリソース > 統合を選択します。
  2. 統合されたアプリタブで、新規をクリックします。 新しい統合パネルが開きます。
  3. SaaSアプリケーションドロップダウンメニューからSentinelOneを選択します。

  4. 名前説明(オプション)、テナントURL(テナントのドメイン)、APIトークンを入力します。

    注記: テナントURLにhttps://を含めてください。 例: https://<YOUR_TENANT>.sentinelone.net

  5. (オプション) イベントを作成して統合のエラーを追跡することを選択できます。
  6. 保存をクリックします。

コネクタのステータスを理解する

コネクタ設定ページのステータス列に、SentinelOneアプリとCatoアカウント間の接続状況が表示されます。 これらはステータスの説明です:

  • 接続済み - アカウントはアプリに接続され、正しく動作しています
  • ユーザーの承認待ち - CatoがSentinelOneアプリにアクセスするための権限が付与されていません。 この問題を解決するには、ブラウザを更新してください。 ステータス接続済みに変われば問題は解決します。変わらない場合はコネクタを削除し再作成してください。
  • エラー - コネクタに接続、権限、ライセンスまたはその他の問題があります。 コネクタを削除して再作成してください。

XDR インシデント検出ページの表示

コネクタを作成すると、XDR インシデント検出でストーリーが表示されます。

XDR インシデント検出ページを表示するには:

  • ナビゲーションメニューから、ホーム > XDR インシデント検出をクリックします。

ストーリー内の列に関する情報は、ストーリー列の理解を参照してください。

さらに詳しくXOpsストーリーを確認する方法について、Microsoft Defenderからのデータを含むDrilling-Down and Analyzing XOps セキュリティストーリーを参照してください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント